Trend Micro最新報告揭露，一波針對醫療、政府、飯店與教育等關鍵產業的無檔案（fileless）釣魚攻擊，正利用「版權侵權通知」作為誘餌，誘使受害者手動執行看似合法的PDF檔案，最終植入低成本資訊竊取器PureLog Stealer。攻擊主要鎖定德國與加拿大的醫療與政府單位，美國與澳洲也有受害案例。Trend Micro研究員Mohamed Fahmy、Allixon Kristoffer Francisco與Jonna Santos指出，這波攻擊展現高度選擇性與多層規避技術，強調攻擊者已從大規模散布轉向精準打擊，對台灣醫療院所、政府機關與教育單位構成嚴重威脅。

 

攻擊流程高度依賴社交工程：受害者收到看似來自合法單位、語言本地化的電子郵件，聲稱發現其機構或個人涉及版權侵權，附件為壓縮檔，內含偽裝成PDF的文件與支援檔案。點擊或開啟後，實際觸發多階段記憶體執行鏈，首先是Python基礎載入器進行沙箱與虛擬機偵測，接著兩階段.NET載入器負責解密與混淆，最終在記憶體中直接執行PureLog Stealer，完全不落地，規避傳統防毒偵測。

 

PureLog Stealer功能包括：

Trend Micro強調，此攻擊特別使用AMSI繞過、重度混淆、反虛擬機檢查，並在執行階段從遠端伺服器取得解密金鑰，進一步降低靜態分析難度。研究員表示：「這波活動反映攻擊者從廣泛機會主義式散布，轉向選擇性目標攻擊，搭配多層規避框架。」

 

對台灣影響極為直接。台灣醫療院所高度數位化，電子病歷與健保系統常透過郵件溝通；政府機關與教育單位也常收到各類行政或法務通知。若員工誤點看似正式的「版權侵權」附件，可能導致機構憑證外洩、病患資料被竊，甚至成為勒索軟體或APT的初始存取點。近期台灣已多次傳出醫療與政府單位遭釣魚攻擊事件，此新型手法更難防範。

 

Trend Micro建議以下防護措施，台灣機構應立即落實：

 

Trend Micro研究員結語：「隨著地緣政治緊張與戰爭持續，攻擊者正結合社交工程與多層規避技術。關鍵產業組織必須高度警覺，及早防範，才能避免成為下一個受害者。」

台灣企業與政府機關切勿低估這波「看似合法」的版權侵權釣魚攻擊。清晰的政策、嚴格的訓練與先進的行為偵測，是目前最有效的防線。

 

 

出處： 基於Dark Reading文章《Attackers Hide Infostealer in Copyright Infringement Notices》，作者Elizabeth Montalbano，發布日期2026年3月23日；並參考Trend Micro研究報告、Mohamed Fahmy等研究員分析，以及相關PureLog Stealer與無檔案釣魚攻擊趨勢。